DNSプロトコルを隠れ蓑にマルウェアが外部と通信、ラックが注意喚起

ラックは2月1日、遠隔操作ウイルス(RAT:リモートアクセスツール)でDNSトンネリングを使った攻撃が行われてるとして注意喚起を行った。同社の調査でこの手口が使用されたケースは初めてだという。

同社は、昨年後半に大手企業の複数社から「PCで不審なソフトウェアが動作している」として調査を請け負い、今回のRATを確認した。攻撃者は、DNSサーバーを模したC&Cサーバーを構築して、企業内部で活動するRATが通常のDNS要求に見せかけたリクエストをC&Cサーバーのドメインに送信することで、指令の通信を行っていた。

DNS(Domain Name Server)は、Web通信に欠かせないシステムで、ネットワーク上のドメイン名やホスト名と、IPアドレスの参照管理を行っている。DNSへのアクセスを防ぐためには、攻撃者が用意したDNSサーバーのドメイン名を確認する必要が有る上、ドメイン名が把握できてもアクセス制限は簡単ではないとラックは指摘。DNSサーバーを企業内部ネットワークに構築していても、DNSの動作履歴をログとして記録することは多くの企業が行っていないため、不正なDNSアクセスの把握が難しいという。